JunosOS

System Basics Configuration Guide

Release

12.1

Published: 2012-05-08

Copyright 2012, Juniper Networks, Inc.

Juniper Networks, Inc.1194 North Mathilda AvenueSunnyvale, California 94089USA408-745-2000www.juniper.net

This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright 1986-1997,Epilogue Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no partof them is in the public domain.

This product includes memory allocation software developed by Mark Moraes, copyright 1988, 1989, 1993, University of Toronto.

This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentationand software included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by the Regents of the University of California. Copyright 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.

GateD software copyright 1995, the Regents of the University. All rights reserved. Gate Daemon was originated and developed throughrelease 3.0 by Cornell University and its collaborators. Gated is based on Kirtons EGP, UC Berkeleys routing daemon (routed), and DCNsHELLO routing protocol. Development of Gated has been supported in part by the National Science Foundation. Portions of the GateDsoftware copyright 1988, Regents of the University of California. All rights reserved. Portions of the GateD software copyright 1991, D.L. S. Associates.

This product includes software developed by Maker Communications, Inc., copyright 1996, 1997, Maker Communications, Inc.

Juniper Networks, Junos, Steel-Belted Radius, NetScreen, and ScreenOS are registered trademarks of Juniper Networks, Inc. in the UnitedStates and other countries. The Juniper Networks Logo, the Junos logo, and JunosE are trademarks of Juniper Networks, Inc. All othertrademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners.

Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify,transfer, or otherwise revise this publication without notice.

Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that areowned by or licensed to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312,6,429,706, 6,459,579, 6,493,347, 6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.

JunosOS System Basics Configuration GuideRelease 12.1Copyright 2012, Juniper Networks, Inc.All rights reserved.

Revision HistoryFebruary 2012 R1 Junos OS 12.1

The information in this document is current as of the date on the title page.

YEAR 2000 NOTICE

Juniper Networks hardware and software products are Year 2000 compliant. Junos OS has no known time-related limitations through theyear 2038. However, the NTP application is known to have some difficulty in the year 2036.

ENDUSER LICENSE AGREEMENT

The Juniper Networks product that is the subject of this technical documentation consists of (or is intended for use with) Juniper Networkssoftware. Use of such software is subject to the terms and conditions of the End User License Agreement (EULA) posted athttp://www.juniper.net/support/eula.html. By downloading, installing or using such software, you agree to the terms and conditionsof that EULA.

Copyright 2012, Juniper Networks, Inc.ii

Abbreviated Table of ContentsAbout This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxix

Part 1 OverviewChapter 1 Introduction to Junos OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Chapter 2 Junos OS Configuration Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Part 2 SystemManagementChapter 3 System Management Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Chapter 4 SystemManagement Configuration Statements . . . . . . . . . . . . . . . . . . . . . . 65

Chapter 5 Configuring Basic SystemManagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Chapter 6 Configuring User Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Chapter 7 Configuring System Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Chapter 8 Configuring Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Chapter 9 Configuring System Log Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Chapter 10 Configuring System Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

Chapter 11 Configuring Miscellaneous System Management Features . . . . . . . . . . . . 253

Chapter 12 Security Configuration Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

Chapter 13 Summary of SystemManagement Configuration Statements . . . . . . . . . . 313

Part 3 AccessChapter 14 Configuring Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509

Chapter 15 Summary of Access Configuration Statements . . . . . . . . . . . . . . . . . . . . . . 553

Part 4 Security ServicesChapter 16 Security Services Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631

Chapter 17 Security Services Configuration Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . 635

Chapter 18 Summary of Security Services Configuration Statements . . . . . . . . . . . . . 691

Part 5 Router ChassisChapter 19 Router Chassis Configuration Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767

Chapter 20 Summary of Router Chassis Configuration Statements . . . . . . . . . . . . . . . 919

Part 6 IndexIndex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 987

iiiCopyright 2012, Juniper Networks, Inc.

Index of Statements and Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1009

Copyright 2012, Juniper Networks, Inc.iv

Junos OS 12.1 System Basics Configuration Guide

Table of ContentsAbout This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxix

Junos OS Documentation and Release Notes . . . . . . . . . . . . . . . . . . . . . . . . . . xxxixObjectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlAudience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlSupported Platforms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlUsing the Indexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xliUsing the Examples in This Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xli

Merging a Full Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xliMerging a Snippet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlii

Documentation Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xliiDocumentation Feedback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlivRequesting Technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xliv

Self-Help Online Tools and Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlvOpening a Case with JTAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlv

Part 1 OverviewChapter 1 Introduction to Junos OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Junos OS Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Junos OS Architecture Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Product Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Routing Process Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Packet Forwarding Engine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Routing Engine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Router Hardware Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Junos OS Commit Model for Router or Switch Configuration . . . . . . . . . . . . . . . . . 8Junos OS Routing Engine Components and Processes . . . . . . . . . . . . . . . . . . . . . . 9

Routing Engine Kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Initialization Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Management Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Process Limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Routing Protocol Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Interface Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Chassis Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11SNMP and MIB II Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

List of Junos OS Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Junos OS Support for IPv4 Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Junos OS Support for IPv6 Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Junos OS Routing and Forwarding Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Routing Policy Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Junos OS Support for VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

vCopyright 2012, Juniper Networks, Inc.

Chapter 2 Junos OS Configuration Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Junos OS Configuration Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Junos OS Configuration from External Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Methods for Configuring Junos OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Junos OS Command-Line Interface (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28ASCII File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28J-Web Package . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Junos XML Management Protocol Software . . . . . . . . . . . . . . . . . . . . . . . . . . 29NETCONF XML Management Protocol Software . . . . . . . . . . . . . . . . . . . . . . 29Configuration Commit Scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Configuring a Router for the First Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Initial Router or Switch Configuration Using the Junos OS . . . . . . . . . . . . . . . 30Configuring the Junos OS for the First Time on a Router or Switch with a

Single Routing Engine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Configuring the Junos OS the First Time on a Router with Dual Routing

Engines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Junos OS Default Settings for Router Security . . . . . . . . . . . . . . . . . . . . . . . . . 41Junos OS Configuration Using the CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Creating and Activating a Candidate Configuration . . . . . . . . . . . . . . . . . . . . 42Disk Space Management for Junos OS Installation . . . . . . . . . . . . . . . . . . . . . 42

Example: Configuring a Proxy Server for License Updates . . . . . . . . . . . . . . . . . . . 43Junos OS Tools for Monitoring the Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Junos OS Features for Router Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Methods of Remote Access for Router Management . . . . . . . . . . . . . . . . . . . 47Junos OS Supported Protocols and Methods for User Authentication . . . . . 48Junos OS Plain-Text Password Requirements . . . . . . . . . . . . . . . . . . . . . . . . 49Junos OS Support for Routing Protocol Security Features and IPsec . . . . . . 49Junos OS Support for Firewall Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Junos OS Auditing Support for Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Upgrading to 64-bit Junos OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Part 2 SystemManagementChapter 3 System Management Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Format for Specifying IP Addresses, Network Masks, and Prefixes in Junos OSConfiguration Statements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Format for Specifying Filenames and URLs in Junos OS CLI Commands . . . . . . . 58Default Directories for Junos OS File Storage on the Router or Switch . . . . . . . . . 59

Directories on the Logical System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Junos OS Tracing and Logging Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Junos OS Authentication Methods for Routing Protocols . . . . . . . . . . . . . . . . . . . 62Junos OS User Authentication Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Chapter 4 SystemManagement Configuration Statements . . . . . . . . . . . . . . . . . . . . . . 65

System Management Configuration Statements . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Chapter 5 Configuring Basic SystemManagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Configuring Basic Router or Switch Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Configuring the Hostname of the Router or Switch . . . . . . . . . . . . . . . . . . . . . . . . 74Mapping the Name of the Router to IP Addresses . . . . . . . . . . . . . . . . . . . . . . . . . 75

Copyright 2012, Juniper Networks, Inc.vi

Junos OS 12.1 System Basics Configuration Guide

Configuring an ISO System Identifier for the Router . . . . . . . . . . . . . . . . . . . . . . . . 75Example: Configuring the Name of the Router, IP Address, and System ID . . . . . . 76Configuring the Domain Name for the Router or Switch . . . . . . . . . . . . . . . . . . . . 76Example: Configuring the Domain Name for the Router or Switch . . . . . . . . . . . . . 77Configuring the Domains to Search When a Router or Switch Is Included in

Multiple Domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Configuring a DNS Name Server for Resolving a Hostname into Addresses . . . . . 77Configuring a Backup Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Configuring a Backup Router Running IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Configuring a Backup Router Running IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Configuring Automatic Mirroring of the CompactFlash Card on the Hard DiskDrive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Configuring the Physical Location of the Router or Switch . . . . . . . . . . . . . . . . . . . 81Configuring the Root Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Example: Configuring the Root Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Example: Configuring a Plain-Text Password for Root Logins . . . . . . . . . . . . . . . . 84Example: Configuring SSH Authentication for Root Logins . . . . . . . . . . . . . . . . . . 84Special Requirements for Junos OS Plain-Text Passwords . . . . . . . . . . . . . . . . . . 84Changing the Requirements for Junos OS Plain-Text Passwords . . . . . . . . . . . . . 87Example: Changing the Requirements for Junos OS Plain-Text Passwords . . . . . 87Configuring Multiple Routing Engines to Synchronize Committed Configurations

Automatically . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Compressing the Current Configuration File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Chapter 6 Configuring User Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Junos OS Login Classes Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Defining Junos OS Login Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Junos OS User Accounts Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Configuring Junos OS User Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Example: Configuring User Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Limiting the Number of User Login Attempts for SSH and Telnet Sessions . . . . . 97Example: Limiting the Number of Login Attempts for SSH and Telnet

Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Configuring Time-Based User Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Examples: Configuring Time-Based User Access . . . . . . . . . . . . . . . . . . . . . . . . . 100Junos-FIPS Crypto Officer and User Accounts Overview . . . . . . . . . . . . . . . . . . . . 101

Crypto Officer User Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101FIPS User Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

Understanding Junos OS Access Privilege Levels . . . . . . . . . . . . . . . . . . . . . . . . . 101Junos OS Login Class Permission Flags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Allowing or Denying Individual Commands for Junos OS Login Classes . . . . 104

Configuring Access Privilege Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Example: Configuring Access Privilege Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Specifying Access Privileges for Junos OS Operational Mode Commands . . . . . 106Regular Expressions for Allowing and Denying Junos OS Operational Mode

Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108Example: Configuring Access Privileges for Operational Mode Commands . . . . 109

viiCopyright 2012, Juniper Networks, Inc.

Table of Contents

Specifying Access Privileges for Junos OS Configuration Mode Hierarchies . . . . . 110Regular Expressions for Allowing and Denying Junos OS Configuration Mode

Hierarchies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Example: Specifying Access Privileges Using allow/deny-configuration-regexps

Statements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Specifying Access Privileges Using allow/deny-configuration Statements . . . . . 115Defining Access Privileges Using allow/deny-configuration Statements . . . . . . . 117Configuring the Timeout Value for Idle Login Sessions . . . . . . . . . . . . . . . . . . . . . 118Configuring CLI Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Chapter 7 Configuring System Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Configuring RADIUS Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Configuring RADIUS Server Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Configuring MS-CHAPv2 for Password-Change Support . . . . . . . . . . . . . . . 122Specifying a Source Address for the Junos OS to Access External RADIUS

Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Juniper Networks Vendor-Specific RADIUS Attributes . . . . . . . . . . . . . . . . . . . . . 124Configuring TACACS+ Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Configuring TACACS+ Server Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Specifying a Source Address for the Junos OS to Access External TACACS+

Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Configuring the Same Authentication Service for Multiple TACACS+

Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Configuring Juniper Networks Vendor-Specific TACACS+ Attributes . . . . . . 128

Juniper Networks Vendor-Specific TACACS+ Attributes . . . . . . . . . . . . . . . . . . . . 129Overview of Template Accounts for RADIUS and TACACS+ Authentication . . . . 130Configuring Remote Template Accounts for User Authentication . . . . . . . . . . . . 130Configuring Local User Template Accounts for User Authentication . . . . . . . . . . 131Using Regular Expressions on a RADIUS or TACACS+ Server to Allow or Deny

Access to Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Junos OS Authentication Order for RADIUS, TACACS+, and Password

Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Using RADIUS or TACACS+ Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 135Using Local Password Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Order of Authentication Attempts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Configuring the Junos OS Authentication Order for RADIUS, TACACS+, and LocalPassword Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Example: Configuring System Authentication for RADIUS, TACACS+, andPassword Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

Recovering the Root Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

Chapter 8 Configuring Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Modifying the Default Time Zone for a Router or Switch Running Junos OS . . . . 145NTP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146Synchronizing and Coordinating Time Distribution Using NTP . . . . . . . . . . . . . . . 147

Configuring NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Configuring the NTP Boot Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Copyright 2012, Juniper Networks, Inc.viii

Junos OS 12.1 System Basics Configuration Guide

Specifying a Source Address for an NTP Server . . . . . . . . . . . . . . . . . . . . . . . 148NTP Time Server and Time Services Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Configuring the NTP Time Server and Time Services . . . . . . . . . . . . . . . . . . . . . . 150

Configuring the Router or Switch to Operate in Client Mode . . . . . . . . . . . . . 151Configuring the Router or Switch to Operate in Symmetric Active Mode . . . . 151Configuring the Router or Switch to Operate in Broadcast Mode . . . . . . . . . 152Configuring the Router or Switch to Operate in Server Mode . . . . . . . . . . . . 152

Configuring NTP Authentication Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Configuring the Router or Switch to Listen for Broadcast Messages Using

NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154Configuring the Router or Switch to Listen for Multicast Messages Using NTP . . 154Setting a Custom Time Zone on Routers or Switches Running Junos OS . . . . . . 155

Importing and Installing Time Zone Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155Configuring a Custom Time Zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Chapter 9 Configuring System Log Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Junos OS System Log Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Junos OS System Log Configuration Hierarchy . . . . . . . . . . . . . . . . . . . . . . . . . . . 158Junos OS Minimum and Default System Logging Configuration . . . . . . . . . . . . . 158

Junos OS Minimum System Logging Configuration . . . . . . . . . . . . . . . . . . . . 159Junos OS Default System Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159Junos OS Platform-Specific Default System Log Messages . . . . . . . . . . . . . 161

Single-Chassis System Logging Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161Single-Chassis System Logging Configuration Overview . . . . . . . . . . . . . . . . 162Specifying the Facility and Severity of Messages to Include in the Log . . . . . 163Junos OS System Logging Facilities and Message Severity Levels . . . . . . . . 164Directing System Log Messages to a Log File . . . . . . . . . . . . . . . . . . . . . . . . . 165Logging Messages in Structured-Data Format . . . . . . . . . . . . . . . . . . . . . . . 166Directing System Log Messages to a User Terminal . . . . . . . . . . . . . . . . . . . . 167Directing System Log Messages to the Console . . . . . . . . . . . . . . . . . . . . . . . 167System Logging on a Remote Machine or the Other Routing Engine . . . . . . 168

Directing System Log Messages to a Remote Machine or the OtherRouting Engine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

Specifying an Alternative Source Address for System Log Messages . . 169Changing the Alternative Facility Name for Remote System Log

Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169System Log Default Facilities for Messages Directed to a Remote

Destination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171Junos OS System Log Alternate Facilities for Remote Logging . . . . . . . . 172Examples: Assigning an Alternative Facility . . . . . . . . . . . . . . . . . . . . . . . 173Adding a Text String to System Log Messages . . . . . . . . . . . . . . . . . . . . 174

Specifying Log File Size, Number, and Archiving Properties . . . . . . . . . . . . . . 174Including Priority Information in System Log Messages . . . . . . . . . . . . . . . . . 176System Log Facility Codes and Numerical Codes Reported in Priority

Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177Including the Year or Millisecond in Timestamps . . . . . . . . . . . . . . . . . . . . . . 179Using Regular Expressions to Refine the Set of Logged Messages . . . . . . . . 180Junos System Log Regular Expression Operators for the match

Statement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

ixCopyright 2012, Juniper Networks, Inc.

Table of Contents

Disabling the System Logging of a Facility . . . . . . . . . . . . . . . . . . . . . . . . . . . 183Examples: Configuring System Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

System Logging Configuration for a TX Matrix Router . . . . . . . . . . . . . . . . . . . . . 185Configuring System Logging for a TX Matrix Router . . . . . . . . . . . . . . . . . . . 185Configuring Message Forwarding to the TX Matrix Router . . . . . . . . . . . . . . . 187Impact of Different Local and Forwarded Severity Levels on System Log

Messages on a TX Matrix Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188Messages Logged When the Local and Forwarded Severity Levels Are

the Same . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188Messages Logged When the Local Severity Level Is Lower . . . . . . . . . . 189Messages Logged When the Local Severity Level Is Higher . . . . . . . . . . 189

Configuring Optional Features for Forwarded Messages on a TX MatrixRouter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190Including Priority Information in Forwarded Messages . . . . . . . . . . . . . . 191Adding a Text String to Forwarded Messages . . . . . . . . . . . . . . . . . . . . . 191Using Regular Expressions to Refine the Set of Forwarded

Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191Directing Messages to a Remote Destination from the Routing Matrix Based

on the TX Matrix Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192Configuring System Logging Differently on Each T640 Router in a Routing

Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193System Logging Configuration for a TX Matrix Plus Router . . . . . . . . . . . . . . . . . 194

Configuring System Logging for a TX Matrix Plus Router . . . . . . . . . . . . . . . . 195Configuring Message Forwarding to the TX Matrix Plus Router . . . . . . . . . . . 197Impact of Different Local and Forwarded Severity Levels on System Log

Messages on a TX Matrix Plus Router . . . . . . . . . . . . . . . . . . . . . . . . . . . 198Messages Logged When the Local and Forwarded Severity Levels Are

the Same . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198Messages Logged When the Local Severity Level Is Lower . . . . . . . . . . 198Messages Logged When the Local Severity Level Is Higher . . . . . . . . . . 199

Configuring Optional Features for Forwarded Messages on a TX Matrix PlusRouter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200Including Priority Information in Forwarded Messages . . . . . . . . . . . . . 200Adding a Text String to Forwarded Messages . . . . . . . . . . . . . . . . . . . . . 201Using Regular Expressions to Refine the Set of Forwarded

Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201Directing Messages to a Remote Destination from the Routing Matrix Based

on a TX Matrix Plus Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201Configuring System Logging Differently on Each T1600 Router in a Routing

Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

Copyright 2012, Juniper Networks, Inc.x

Junos OS 12.1 System Basics Configuration Guide

Chapter 10 Configuring System Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

System Services Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206Configuring clear-text or SSL Service for Junos XML Protocol Client

Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Configuring clear-text Service for Junos XML Protocol Client

Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Configuring SSL Service for Junos XML Protocol Client Applications . . . . . 208

Configuring the Router or Interface to Act as a DHCP Server on J Series ServicesRouters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

DHCP Access Service Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210Network Address Assignments (Allocating a New Address) . . . . . . . . . . . . . 210Network Address Assignments (Reusing a Previously Assigned Address) . . 212Static and Dynamic Bindings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212Compatibility with Autoinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213Conflict Detection and Resolution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

DHCP Statement Hierarchy and Inheritance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213Configuring Address Pools for DHCP Dynamic Bindings . . . . . . . . . . . . . . . . . . . . 215Configuring Manual (Static) DHCP Bindings Between a Fixed IP Address and a

Client MAC Address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216Specifying DHCP Lease Times for IP Address Assignments . . . . . . . . . . . . . . . . . 217Configuring a DHCP Boot File and DHCP Boot Server . . . . . . . . . . . . . . . . . . . . . . 217Configuring the Next DHCP Server to Contact After a Boot Client Establishes

Initial Communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218Configuring a Static IP Address as DHCP Server Identifier . . . . . . . . . . . . . . . . . . 219Configuring a Domain Name and Domain Search List for a DHCP Server Host . . 219Configuring Routers Available to the DHCP Client . . . . . . . . . . . . . . . . . . . . . . . . 220Creating User-Defined DHCP Options Not Included in the Default Junos

Implementation of the DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Example: Complete DHCP Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 222Example: Viewing DHCP Bindings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223Example: Viewing DHCP Address Pools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224Example: Viewing and Clearing DHCP Conflicts . . . . . . . . . . . . . . . . . . . . . . . . . . 224Configuring Tracing Operations for DHCP Processes . . . . . . . . . . . . . . . . . . . . . . 224

Configuring the DHCP Processes Log Filename . . . . . . . . . . . . . . . . . . . . . . 225Configuring the Number and Size of DHCP Processes Log Files . . . . . . . . . . 225Configuring Access to the DHCP Log File . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Configuring a Regular Expression for Refining the Output of DHCP Logged

Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Configuring DHCP Trace Operation Events . . . . . . . . . . . . . . . . . . . . . . . . . . 226

DHCP Processes Tracing Flags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227Configuring the Router as an Extended DHCP Local Server . . . . . . . . . . . . . . . . . 228Interaction Among the DHCP Client, Extended DHCP Local Server, and

Address-Assignment Pools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230Extended DHCP Local Server and Address-Assignment Pools . . . . . . . . . . . . . . 230Methods Used by the Extended DHCP Local Server to Determine Which

Address-Assignment Pool to Use . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231Matching the Client IP Address to the Address-Assignment Pool . . . . . . . . . 231Matching Option 82 Information to Named Address Ranges . . . . . . . . . . . . 231

Default Options Provided by the Extended DHCP Server for the DHCP Client . . 232

xiCopyright 2012, Juniper Networks, Inc.

Table of Contents

Using External AAA Authentication Services to Authenticate DHCP Clients . . . . 232Configuring Authentication Support for an Extended DHCP Application . . . 233Grouping Interfaces with Common DHCP Configurations . . . . . . . . . . . . . . 234Configuring Passwords for Usernames the DHCP Application Presents to

the External AAA Authentication Service . . . . . . . . . . . . . . . . . . . . . . . . 235Creating Unique Usernames the Extended DHCP Application Passes to the

External AAA Authentication Service . . . . . . . . . . . . . . . . . . . . . . . . . . . 235Client Configuration Information Exchanged Between the External Authentication

Server, DHCP Application, and DHCP Client . . . . . . . . . . . . . . . . . . . . . . . . . 237Tracing Extended DHCP Local Server Operations . . . . . . . . . . . . . . . . . . . . . . . . 238

Configuring the Filename of the Extended DHCP Local Server ProcessesLog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

Configuring the Number and Size of Extended DHCP Local Server ProcessesLog Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

Configuring Access to the Log File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Configuring a Regular Expression for Lines to Be Logged . . . . . . . . . . . . . . . 239Configuring Trace Option Flags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239

Example: Configuring the Minimum Extended DHCP Local ServerConfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

Example: Extended DHCP Local Server Configuration with Optional PoolMatching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

Verifying and Managing the DHCP Server Configuration . . . . . . . . . . . . . . . . . . . 241Configuring DTCP-over-SSH Service for the Flow-Tap Application . . . . . . . . . . . 241Configuring Finger Service for Remote Access to the Router . . . . . . . . . . . . . . . . 242Configuring FTP Service for Remote Access to the Router or Switch . . . . . . . . . 243Configuring SSH Service for Remote Access to the Router or Switch . . . . . . . . . 244

Configuring the Root Login Through SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Configuring the SSH Protocol Version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Configuring the Client Alive Mechanism . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

Configuring Outbound SSH Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246Configuring the Device Identifier for Outbound SSH Connections . . . . . . . . 247Sending the Public SSH Host Key to the Outbound SSH Client . . . . . . . . . . 247Configuring Keepalive Messages for Outbound SSH Connections . . . . . . . 248Configuring a New Outbound SSH Connection . . . . . . . . . . . . . . . . . . . . . . 249Configuring the Outbound SSH Client to Accept NETCONF as an Available

Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249Configuring Outbound SSH Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

Configuring NETCONF-Over-SSH Connections on a Specified TCP Port . . . . . . 250Configuring Telnet Service for Remote Access to a Router or Switch . . . . . . . . . 250

Chapter 11 Configuring Miscellaneous System Management Features . . . . . . . . . . . . 253

Configuring the Junos OS to Set Console and Auxiliary Port Properties . . . . . . . 254Configuring the Junos OS to Disable Protocol Redirect Messages on the Router

or Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Configuring the Junos OS to Select a Fixed Source Address for Locally Generated

TCP/IP Packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Configuring the Junos OS to Make the Router or Interface Act as a DHCP or

BOOTP Relay Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257

Copyright 2012, Juniper Networks, Inc.xii

Junos OS 12.1 System Basics Configuration Guide

Configuring the Junos OS to Disable the Routing Engine Response to MulticastPing Packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

Configuring the Junos OS to Disable the Reporting of IP Address and Timestampsin Ping Responses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

Configuring Password Authentication for Console Access to PICs . . . . . . . . . . . 259Configuring the Junos OS to Display a System Login Message . . . . . . . . . . . . . . 259Configuring the Junos OS to Display a System Login Announcement . . . . . . . . 260Disabling Junos OS Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261Configuring Failover to Backup Media if a Junos OS Process Fails . . . . . . . . . . . . 261Configuring Password Authentication for the Diagnostics Port . . . . . . . . . . . . . . 262Viewing Core Files from Junos OS Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262Saving Core Files from Junos OS Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263Using Junos OS to Configure Logical System Administrators . . . . . . . . . . . . . . . 263Using Junos OS to Configure a Router or Switch to Transfer Its Configuration to

an Archive Site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264Configuring the Router or Switch to Transfer Its Currently Active

Configuration to an Archive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264Configuring the Transfer Interval for Periodic Transfer of the Active

Configuration to an Archive Site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265Configuring Transfer of the Current Active Configuration When a

Configuration Is Committed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265Configuring Archive Sites for Transfer of Active Configuration Files . . . . . . . 265

Using Junos OS to Specify the Number of Configurations Stored on theCompactFlash Card . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

Configuring RADIUS System Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267Configuring Auditing of User Events on a RADIUS Server . . . . . . . . . . . . . . . 267Specifying RADIUS Server Accounting and Auditing Events . . . . . . . . . . . . . 267Configuring RADIUS Server Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

Example: Configuring RADIUS System Accounting . . . . . . . . . . . . . . . . . . . . . . . 269Configuring TACACS+ System Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269

Specifying TACACS+ Auditing and Accounting Events . . . . . . . . . . . . . . . . . 270Configuring TACACS+ Server Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . 270

Configuring TACACS+ Accounting on a TX Matrix Router . . . . . . . . . . . . . . . . . . . 271Configuring the Junos OS to Work with SRC Software . . . . . . . . . . . . . . . . . . . . . 271Configuring the Junos OS ICMPv4 Rate Limit for ICMPv4 Routing Engine

Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272Configuring the Junos OS ICMPv6 Rate Limit for ICMPv6 Routing Engine

Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272Configuring the Junos OS for IP-IP Path MTU Discovery on IP-IP Tunnel

Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273Configuring TCP MSS for Session Negotiation . . . . . . . . . . . . . . . . . . . . . . . . . . . 273

Configuring TCP MSS on T Series and M Series Routers . . . . . . . . . . . . . . . . 274Configuring TCP MSS on J Series Services Routers . . . . . . . . . . . . . . . . . . . . 274

Configuring the Junos OS for IPv6 Path MTU Discovery . . . . . . . . . . . . . . . . . . . . 274Configuring the Junos OS for IPv6 Duplicate Address Detection Attempts . . . . . 275Configuring the Junos OS for Acceptance of IPv6 Packets with a Zero Hop

Limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275Configuring the Junos OS to Enable Processing of IPv4-mapped IPv6

Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276

xiiiCopyright 2012, Juniper Networks, Inc.

Table of Contents

Configuring the Junos OS for Path MTU Discovery on Outgoing GRE TunnelConnections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276

Configuring the Junos OS for Path MTU Discovery on Outgoing TCPConnections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276

Configuring the Junos OS to Ignore ICMP Source Quench Messages . . . . . . . . . . 277Configuring the Junos OS to Enable the Router or Switch to Drop Packets with

the SYN and FIN Bits Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277Configuring the Junos OS to Disable TCP RFC 1323 Extensions . . . . . . . . . . . . . . 278Configuring the Junos OS to Disable the TCP RFC 1323 PAWS Extension . . . . . . 278Configuring the Junos OS to Extend the Default Port Address Range . . . . . . . . . 278Configuring the Junos OS ARP Learning and Aging Options for Mapping IPv4

Network Addresses to MAC Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279Configuring Passive ARP Learning for Backup VRRP Routers or Switches . . 279Configuring a Delay in Gratuitous ARP Requests . . . . . . . . . . . . . . . . . . . . . . 279Configuring a Gratuitous ARP Request When an Interface is Online . . . . . . 280Configuring the Purging of ARP Entries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280Adjusting the ARP Aging Timer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

Disabling MAC Address Learning of Neighbors Through ARP or Neighbor Discoveryfor IPv4 and IPv6 Neighbors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

Configuring System Alarms to Appear Automatically on J Series Routers, EXSeries Ethernet Switches, and the QFX Series . . . . . . . . . . . . . . . . . . . . . . . . 281

System Alarms on J Series Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282

Chapter 12 Security Configuration Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

Example: Configuring a Router Name and Domain Name . . . . . . . . . . . . . . . . . . 283Example: Configuring RADIUS Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . 284Example: Creating Login Classes with Specific Privileges . . . . . . . . . . . . . . . . . . 285Example: Configuring User Login Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285Example: Configuring RADIUS Template Accounts . . . . . . . . . . . . . . . . . . . . . . . 286Example: Enabling SSH Connection Services . . . . . . . . . . . . . . . . . . . . . . . . . . . 286Example: Configuring System Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287Example: Configuring NTP as a Single Time Source for Router and Switch Clock

Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287Example: Configuring ATM, SONET, Loopback, and Out-of-Band Management

Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288Example: Configuring SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290Examples: Configuring Protocol-Independent Routing Properties . . . . . . . . . . . 292

Example: Configuring the Router ID and Autonomous System Number forBGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293

Example: Configuring Martian Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . 293Example: Viewing Reserved IRI IP Addresses . . . . . . . . . . . . . . . . . . . . . . . . 293

Example: Configuring the BGP and IS-IS Routing Protocols . . . . . . . . . . . . . . . . 294Configuring BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295Configuring IS-IS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295

Configuring Firewall Policies and Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296Example: Configuring Firewall Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297Example: Configuring Firewall Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300

Example: Consolidated Security Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 301

Copyright 2012, Juniper Networks, Inc.xiv

Junos OS 12.1 System Basics Configuration Guide

Chapter 13 Summary of SystemManagement Configuration Statements . . . . . . . . . . 313

accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314access-end . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315access-start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315accounting-port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316allow-commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316allow-configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317allow-configuration-regexps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318allow-duplicates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319allow-v4mapped-packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320allowed-days . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320announcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321archival . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322archive (All System Log Files) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323archive (Individual System Log File) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324archive-sites (Configuration File) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327authentication (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328authentication (Login) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329authentication-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330authentication-order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331autoinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332auxiliary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333backup-router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334boot-file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335boot-server (DHCP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336boot-server (NTP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337broadcast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338broadcast-client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339change-type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339circuit-type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340class (Assigning a Class to an Individual User) . . . . . . . . . . . . . . . . . . . . . . . . . . . 341class (Defining Login Classes) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341client-identifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342commit synchronize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343compress-configuration-files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345configuration-servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346connection-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347console (Physical Port) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348console (System Logging) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349default-address-selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350default-lease-time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351delimiter (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352deny-commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353deny-configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354deny-configuration-regexps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355destination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356destination-override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357

xvCopyright 2012, Juniper Networks, Inc.

Table of Contents

dhcp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358dhcpv6 (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360dhcp-local-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363diag-port-authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368domain-name (DHCP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369domain-name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369domain-name (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370domain-search . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371donot-disable-ip6op-ondad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372dump-device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373dynamic-profile-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374explicit-priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375facility-override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375file (System Logging) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377finger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378flow-tap-dtcp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379full-name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380gratuitous-arp-on-ifup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380gre-path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381group (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384host-name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386http . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386https . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387icmpv4-rate-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388icmpv6-rate-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389idle-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390inet6-backup-router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391interfaces (ARP Aging Timer) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392interface (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394internet-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395ip-address-first . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396ipip-path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397ipv6-duplicate-addr-detection-transmits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397ipv6-path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398ipv6-path-mtu-discovery-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398ipv6-reject-zero-hop-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399load-key-file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399local-certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400location . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401log-prefix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402log-rotate-frequency . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402logical-system-name (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404

Copyright 2012, Juniper Networks, Inc.xvi

Junos OS 12.1 System Basics Configuration Guide

login-alarms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405login-tip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405mac-address (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406match . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407max-configurations-on-flash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407maximum-lease-time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408maximum-length . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409minimum-changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410minimum-length . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411mirror-flash-on-disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412multicast-client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413name-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413next-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414no-compress-configuration-files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414no-gre-path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414no-ipip-path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414no-ipv6-reject-zero-hop-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414no-multicast-echo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415no-path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416no-ping-record-route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416no-ping-time-stamp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416no-redirects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417no-remote-trace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417no-saved-core-context . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417no-source-quench . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417no-tcp-rfc1323-paws . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418no-tcp-rfc1323 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418ntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419option-60 (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420option-82 (DHCP Local Server Authentication) . . . . . . . . . . . . . . . . . . . . . . . . . . 421option-82 (DHCP Local Server Pool Matching) . . . . . . . . . . . . . . . . . . . . . . . . . . 422outbound-ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423passive-learning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426password (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427password (Login) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429permissions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430pic-console-authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431pool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432pool-match-order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433port (Proxy Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434port (HTTP/HTTPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434port (NETCONF Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435port (RADIUS Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436port (SRC Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436

xviiCopyright 2012, Juniper Networks, Inc.

Table of Contents

port (TACACS+ Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439protocol-version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441radius-options (Edit Access) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441radius-options (edit system) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442radius-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443rate-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444retry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445retry-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446root-authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447root-login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449routing-instance-name (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . 450saved-core-context . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451saved-core-files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452server (NTP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453server (RADIUS Accounting) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454server (Proxy) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454server (TACACS+ Accounting) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455server-identifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457service-deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460single-connection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461size . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462source-address (NTP, RADIUS, System Logging, or TACACS+) . . . . . . . . . . . . . 463source-address (SRC Software) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464source-port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464source-quench . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466static-binding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467static-host-mapping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468structured-data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470system . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471tacplus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472tacplus-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473tacplus-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474tcp-drop-synfin-set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474tcp-mss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476time-format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478time-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479

Copyright 2012, Juniper Networks, Inc.xviii

Junos OS 12.1 System Basics Configuration Guide

traceoptions (Address-Assignment Pool) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482traceoptions (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484traceoptions (DHCP Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486traceoptions (SBC Configuration Process) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489tracing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491transfer-interval (Configuration) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492transfer-on-commit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493trusted-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494uid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495use-imported-time-zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495user (Access) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496user (System Logging) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497username . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498username-include (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499user-prefix (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500versioning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501web-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502wins-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503world-readable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504xnm-clear-text . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504xnm-ssl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505

Part 3 AccessChapter 14 Configuring Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509

Access Configuration Statements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510Configuring the PPP Authentication Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514Example: Configuring PPP CHAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515Example: Configuring CHAP Authentication with RADIUS . . . . . . . . . . . . . . . . . . 515Configuring L2TP for Enabling PPP Tunneling Within a Network . . . . . . . . . . . . . 518Defining the Minimum L2TP Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519Configuring the Address Pool for L2TP Network Server IP Address Allocation . . 520Configuring the Group Profile for Defining L2TP Attributes . . . . . . . . . . . . . . . . . . 521

Configuring L2TP for a Group Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522Configuring the PPP Attributes for a Group Profile . . . . . . . . . . . . . . . . . . . . 522

Example: Group Profile Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523Configuring Access Profiles for L2TP or PPP Parameters . . . . . . . . . . . . . . . . . . 524

Configuring the Access Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524Configuring the L2TP Properties for a Profile . . . . . . . . . . . . . . . . . . . . . . . . . 525Configuring the PPP Properties for a Profile . . . . . . . . . . . . . . . . . . . . . . . . . 525Configuring the Authentication Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526Configuring the Accounting Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526

Configuring the L2TP Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527Example: Defining the Default Tunnel Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527Example: Defining the User Group Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528Configuring the CHAP Secret for an L2TP Profile . . . . . . . . . . . . . . . . . . . . . . . . . 528Example: Configuring L2TP PPP CHAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529Referencing the Group Profile from the L2TP Profile . . . . . . . . . . . . . . . . . . . . . . 529Configuring L2TP Properties for a Client-Specific Profile . . . . . . . . . . . . . . . . . . 530

xixCopyright 2012, Juniper Networks, Inc.

Table of Contents

Example: PPP MP for L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531Example: L2TP Multilink PPP Support on Shared Interfaces . . . . . . . . . . . . . . . . 532Configuring the PAP Password for an L2TP Profile . . . . . . . . . . . . . . . . . . . . . . . . 533Example: Configuring PAP for an L2TP Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . 533Configuring PPP Properties for a Client-Specific Profile . . . . . . . . . . . . . . . . . . . 534Applying a Configured PPP Group Profile to a Tunnel . . . . . . . . . . . . . . . . . . . . . 535Example: Applying a User Group Profile on the M7i or M10i Router . . . . . . . . . . . 536Example: Configuring the Access Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536Example: Configuring L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537Configuring RADIUS Authentication for L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . 539RADIUS Attributes for L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541Example: Configuring RADIUS Authentication for L2TP . . . . . . . . . . . . . . . . . . . 545Configuring the RADIUS Disconnect Server for L2TP . . . . . . . . . . . . . . . . . . . . . . 545Configuring RADIUS Authentication for an L2TP Client and Profile . . . . . . . . . . 546Example: Configuring RADIUS Authentication for an L2TP Profile . . . . . . . . . . . 547Understanding Session Options for Subscriber Access . . . . . . . . . . . . . . . . . . . . 548Configuring Subscriber Session Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550Configuring an IKE Access Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550

Chapter 15 Summary of Access Configuration Statements . . . . . . . . . . . . . . . . . . . . . . 553

accounting (access profile) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553accounting-order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554accounting-port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554accounting-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555accounting-session-id-format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555accounting-stop-on-access-deny . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556accounting-stop-on-failure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557address-assignment (Address-Assignment Pools) . . . . . . . . . . . . . . . . . . . . . . . 558address-pool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559address-range . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559allowed-proxy-pair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561authentication-order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562authentication-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563boot-file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563boot-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564cell-overhead . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564chap-secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565circuit-id (Address-Assignment Pools) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565circuit-type (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567client-authentication-algorithm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568client-idle-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569client-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570client-session-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571dhcp-attributes (Address-Assignment Pools) . . . . . . . . . . . . . . . . . . . . . . . . . . . 572domain-name (Address-Assignment Pools) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573drop-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573

Copyright 2012, Juniper Networks, Inc.xx

Junos OS 12.1 System Basics Configuration Guide

encapsulation-overhead . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574ethernet-port-type-virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574exclude (RADIUS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575fragment-threshold . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577framed-ip-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577framed-pool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578grace-period . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578group-profile (Associating with Client) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579group-profile (Group Profile) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580hardware-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581host (Address-Assignment Pools) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581idle-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582ignore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583ike . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584ike-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585immediate-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585initiate-dead-peer-detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586interface-description-format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586interface-id . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587ip-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587keepalive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588keepalive-retries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589l2tp (Group Profile) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590l2tp (Profile) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591lcp-renegotiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592local-chap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593maximum-lease-time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593maximum-sessions-per-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594multilink . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595name-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .